ปฏิเสธการเข้าถึง IP โดยตรงไปยังแอปพลิเคชันที่ใช้งานใน Kubernetes

Sebastian

17/3/23 13:31

ฉันมี โหนด JS ใบสมัครด้วย express.js เป็นเฟรมเวิร์กส่วนหลังที่ปรับใช้บนคลาวด์โดยใช้ Kubernetes K8s ทำงานบนเทมเพลต Ubuntu แอปพลิเคชันที่ใช้งานใน Kubernetes เป็นของ บริการ พิมพ์ โหนดพอร์ต. ซึ่งหมายความว่าแอปใช้ที่อยู่ IP ภายนอกของโหนด K8s ในกรณีของฉัน ขณะนี้กำลังใช้ที่อยู่ IP ภายนอกของหนึ่งในโหนดหลัก

จากนั้นฉันกำหนดชื่อโฮสต์ DNS สำหรับแอปพลิเคชันโดยใช้ Cloudflare Tunnel (หรือที่เรียกว่า Argo Tunnel) มันทำงานได้ดีอย่างสมบูรณ์เพราะฉันสามารถเข้าถึงแอปพลิเคชันจากภายนอกคลัสเตอร์ K8s ด้วยชื่อโฮสต์ DNS ที่แก้ไขแล้ว อย่างไรก็ตาม ฉันยังสามารถเข้าถึงแอปพลิเคชันได้โดยตรงจาก a.b.c.d: 31130. นี่คือตัวอย่างจาก config.yml ไฟล์ที่ใช้ในการสร้างอุโมงค์ Cloudflare:

อุโมงค์: ***********8ab68bscjbi9cddhujhdhbh
ไฟล์ข้อมูลประจำตัว: /home/sebastian/.cloudflared/***********8ab68bscjbi9cddhujhdhbh.json

ทางเข้า:
  - ชื่อโฮสต์: myapp.test.io
    บริการ: http://a.b.c.d:31130
  - บริการ: http_status:404

ข้อกังวลของฉันคือ จะปฏิเสธหรือบล็อกการเข้าถึง IP โดยตรงไปยังแอปพลิเคชันได้อย่างไร เนื่องจากฉันไม่ต้องการเปิดเผยที่อยู่ IP และทำให้ชีวิตลำบากสำหรับตัวเองจากมุมมองด้านความปลอดภัย

ฉันต้องกำหนดค่าจากภายในคลัสเตอร์ Cloudflare หรือ K8s หรือไม่ก็เป็นข้อสงสัยของฉันเช่นกัน การตอบรับและข้อเสนอแนะใด ๆ ที่จะได้รับการชื่นชม

119

0 + 0

ระบบชื่อโดเมน

คูเบอร์เนเตส

Score:1

Server

Rajesh Dutta

28/3/23 21:51

จากมุมมองของ kubernetes Ingress-controller เป็นวิธีมาตรฐานในการเปิดเผยแบ็กเอนด์ HTTP ผ่านการเชื่อมต่อ TLS จากคลัสเตอร์ไปยังไคลเอ็นต์

คุณสามารถเผยแพร่แอปพลิเคชันโดยใช้ใบรับรอง TLS เมื่อสร้างใบรับรอง TLS คุณสามารถระบุชื่ออื่นที่คุณจะอนุญาตสำหรับแอปพลิเคชันของคุณ ชื่อหรือที่อยู่ IP อื่นจะไม่ได้รับอนุญาตให้เข้าถึงเว็บไซต์

นี่คือตัวอย่างชื่ออื่น เราสามารถลบที่อยู่ IP ได้หากเราไม่ต้องการอนุญาตการเข้าถึงโดยใช้ IP

X509v3 ชื่อสำรองของหัวเรื่อง:
                DNS:kmaster, DNS:kubernetes, DNS:kubernetes.default, DNS:kubernetes.default.svc, DNS:kubernetes.default.svc.cluster.local, ที่อยู่ IP:10.96.0.1, ที่อยู่ IP:172.16.16.100

ตัวอย่าง TLS ขาเข้า https://github.com/kubernetes/ingress-nginx/tree/main/docs/examples/tls-termination

ชื่อทางเลือก https://kubernetes.io/docs/tasks/administer-cluster/certificates/#openssl

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Deny direct IP access to an application deployed in Kubernetes

TH: ปฏิเสธการเข้าถึง IP โดยตรงไปยังแอปพลิเคชันที่ใช้งานใน Kubernetes

RO: Interziceți accesul IP direct la o aplicație implementată în Kubernetes

RU: Запретить прямой IP-доступ к приложению, развернутому в Kubernetes

VI: Từ chối quyền truy cập IP trực tiếp vào một ứng dụng được triển khai trong Kubernetes

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา